Geelbe hackeado y el problema de las claves únicas

Acaban de hackear Geelbe.com y publicaron en una URL todas las combinaciones de mail + clave (encriptada pobremente) y, por la hora del día, la respuesta de Geelbe va a tardar. Las claves estan encriptadas de forma de ser simplemente desencriptadas y, como en general hacen todos, usan la misma combinacion de clave + correo electrónico en más de un sitio.

Como medida de seguridad, vayan a los otros servicios web donde usen ESA combinación específica de mail + clave para ingresar y cambienlo urgente primero en los otros sitios. ¿Porque recomiendo ir primero a los otros? Porque la vulnerabilidad va a seguir estando al menos hasta que lo solucionen y toda clave nueva que pongan en Geelbe va a quedar “debilitada”… entonces, primero salven lo que no es vulnerable y luego vean si cambian la clave a una que sea temporaria.

Nota: NO, no voy a publicar la URL del blog porque sería estúpido y, por otro lado, me acabo de dar cuenta que ese proveedor no tiene un formulario de contacto de seguridad. Y me avisó, gracias, @estebanbianchi

Actualización En Argentina es feriado, la publicación de las claves fue a las 2:00AM, no esperen que haya alguien despierto para solucionarlo ahora, por eso les recomiendo cambiar otras claves hasta que sea oficial que cerraron el hueco de seguridad.
Actualización 2 ya están trabajando en el tema… el sitio muestra señales de “trabajos” y aseguran, oficialmente, que solo una parte de los usuarios de Argentina fueron afectados y están tratando de localizar de donde vino el “hack”

69 thoughts on “Geelbe hackeado y el problema de las claves únicas”

  1. Gracias por los apoyos. Estamos asegurando los datos y cuentas de nuestros usuarios y trabajando para solucionar cuanto antes el problema.
    En breve comunicaremos los pasos que seguiremos.
    Asimismo les pido que quien tenga datos del orígen tenga a bien acercármelos ya que estaremos iniciando las acciones correspondientes.

  2. EpicFail para la gente de geelbe.. che pero no vaya a ser ahora que algunos loquitos hagan compras con identidad de otros! me imagino q los de geelbe no van a concretar ninguna venta desde el momento del hackeo…

  3. tengo cuenta en ese sitio y veo que en la lista publicada no aparece mi correo, yo me registre en el versión mexicana.

  4. Lo peor de todo es que en situaciones como ésta uno se pone a pensar en la cantidad de datos nuestos que deben estar online bajo capas de seguridad tan débiles.
    Y no hablemos solo de geelbe (twitter + google docs?)

  5. Gracias por la info! Ya hice el cambio, mmm valió la pena quedarme a ver Dexter y enterarme de esto ;)

    Deseo que lo arreglen mañana mismo y lección para todos: nunca uses la misma password para todo y usá un lastpass o 1password para ordenar y saber qué claves usas. O no?

    JF

  6. Es una pena que haya sitios que sigan guardando la clave mail+password encriptada solamente; lo suyo es añadir una clave única más por site, para que las combinaciones resultantes sean únicas y solo sirvan para el site en cuestión…

    1. retuiteen… o mandales mail con el porque hay que cambiar la clave en otros sitios, mientras Geelbe no asegure su sitio van a poder seguir entrando y todo cambio que hagas ahi va a ser al pedo.

  7. – Ahorraste en tu equipo de IT y estuvo mal. Un buen equipo no hace una encriptación tan boluda. Despidanlo a todo y gasten plata en serio para tener un sistema infalible.

    – Si te reportan el fallo pones atención inmediatamente. No hay nada más importante que cuidar la información de tus usuarios.

    – La confianza de muchos se va a ir al carajo. Más aún los que hayan tenido un password conectado a otras cuentas y vayan a ser afectados directamente. Y además, muchos passwords dicen mucho de la gente. Lamentable que terminen en el dominio público.

    – Toca nuevamente recomendar KeepPass, 1password, etc para usuarios de internet. ProTip para Geelbee, regalás 70mil licencias mañana mismo, a todos tus clientes de alguna app mainstream. Y das el mejor evento de seguridad web en Buenos Aires, gratuita para todos los que quieran llegar.

    1. Coincido con todo, de hecho vi que varias personas usaban sus passes como master pass para servicios importantes (Gmail, etc.) NO vas a poder evitar una sngría de usuarios y te agregaría… salí YA a comunicarle a todos quehubo un problema y que estás trabajando URGENTE y etc.etc… vas a tener un golpe pero quizás, solo quizás, no duela tanto.

      1. Coincido con lo que dicen.. es mas q obvio q la gente de geelbe ya debe estar informada del tremendo problema.. si hay revolución en twitter ALGUIEN q los conozca se debe haber enterado y por lo menos les debe haber mandado un sms..deberían salir por lo menos a calmar la situación y a dar tranquilidad.

      2. Algunos dejamos comentarios pero estan esperando aprovacion. Me parece correcto, en estos momentos estan ocupados con cosas mas relevantes que moderar los comentarios de su blog (aparte, es su blog, tienen todo el derecho de elegir que poner :)).

      3. No creo que los ingenieros y developers sean quienes moderen comentarios.

        Pero lo más importante es recuperar por todos los medios la credibilidad que perdieron, y evidentemente una fomra de hacerlo es transparente.

        Si en el blog de Mariano hay 50 comentarios, en otros blogs hay cientos de post con el tema, y en twitter se habla de esto hace más de 24hs, como crees que ve el usuario que en su propio blog oficial nadie comente nada ?

      4. El blog es parte del PR que tienen que hacer, atender primero a los usuarios “expuestos”, despues al resto de los usuarios, y despues asegurarse de que IT les de respuestas logicas son pasos que yo tomaria antes de explicar todo en el blog. Coincido en que me gustaria una explicacion mas detallada que la que hay hoy en dia, pero puedo entender por que no la dieron aun. Seguramente nos llegue mas info cuando todo se normalice.

      5. Vos lo estas viendo como IT developer mode jeje.

        Pero los usuarios lo ven como que comentan y nadie responde, y estan dejando que el ruido se realice en otro lado y no en su propio sitio, por tanto pierden control de eso.

        Pero bueno son formas diferentes de verlo. En definitiva a mi no me afecta para nada como lo hagan, solo comente algo que me pareció curioso pero que además es lo que ocupa gran parte de las consultas en las diferentes redes sociales donde se habla el tema.

  8. Pero LRPM!!!! Qué cosa!! Menos mal que la mía por lo menos no la publicaron! Aparte, la que usé ahí es una password “genérica” que uso en todos los sitios poco importantes. En el mail, sitios de comercio electrónico, PayPal, etc uso otras. Pero igual es una cagada mal!! :S

  9. Sin animo de ofender, pero decir “clave (encriptada pobremente)” esta muy mal. No esta encriptada, bajo todas y hasta la mas pervisiva forma que se pueda considerar encriptacion, eso no esta encriptado.

    Base64, la forma en que esta guardada, es una manera en la que se puede representar cualquier informacion, indistintamente de los bytes que la compongan, utilizando tan solo 64 distintos caracteres. Eso -no- es encriptacion, la base de Geelbe (o de donde sea que se leyeron esos datos) no estaba encriptada.

  10. La verdad que es una joda, si bien coincido con lo que comenta Mariano, Christian y otros siempre jode que exista gente con ganas de llenar los cocos.

    Con respecto a la “encriptacion” la pifearon, y lamentablemente “error” muy común.

    Hace unos días hablaba con Spamloco sobre el tema de saber si cada sitio se preocupa o no por la seguridad, y la forma es sencilla:

    Si al recuperar una contraseña te envían la contraseña, está fue guardada de forma débil ya que pudieron entregarla cuando la olvidaste o bien el programador o los programadores o el del hosting, o alguien con acceso a un respaldo pudo saberla. (Gente al pedo sobra)

    Si por el contrario en vez de la contraseña te la resetean y piden re-activación seguramente no la esten guardando, por tanto es más seguro.

    Con esto descartas un montón de servicios “importantes” y te vas a sorprender !!!

    Por otro lado están algúnos proveedores como Hotmail que te preguntan para recupear la contraseña solamente “Nombre de tu madre”, “Lugar de nacimiento”, “Nombre de tu mascota”, y eso lo sacas del Facebook o Twitter con unas horas de seguimiento de la victima futura :)

    En fin, a veces no nos ponemos a pensar en todo esto y terminamos perdiendo tiempo, dinero o pasando un mal rato.

  11. Les hago una ACTUALIZACION:
    * No se han perdido datos.
    * No se han realizado compras con datos ajenos.
    * Sólo se han publicado 461 datos de los primeros 461 registrados de Argentina. Esto no quiere decir que quien lo hizo pueda tener datos de otras personas.
    * Estamos reasegurando nuestros sistemas y estaremos nuevamente online pronto.
    * Se realizará una comunicación a todos nuestros usuarios con el fin de que cambien sus claves tanto en nuestro servicio, como en otros si usan la misma.

    Seguimos trabajando

  12. Es lamentable que todavía existan bases de datos que guarden passwords y no hashes. Qué clase de novatos tienen de programadores? Eso pasa cuando gente que no es de IS/IT se dedica a hacer software.

  13. Mariano

    Gracias a vos (y a que estaba despierto hasta tarde viendo mails) me entere en el momento de la noticia.
    Ayer estuve toda la noche cambiando claves (por las dudas). Me resultó sumamente útil el servicio de Lastpass al cual estoy suscripto. Les recomiendo que lean un tip que en su momento escribí sobre el mismo, ya que ayuda mucho en el proceso de creación y recordación de claves:

    http://adriantips.com/%C2%BFcomo-crear-y-administrar-contrasenas-passwords-facilmente-lastpass-es-la-repuesta-1197.html

    Saludos.

    Adrián.

  14. ¿Cómo podemos estar seguros de que no se llegó a hackear la información de medios de pago? ¿Cómo sé si mi clave fue o no publicada? ¿Cómo recuperamos la confianza?

    Sres. de Geelbe, información clara, urgente y precisa de manera individual es lo que hace falta.

    Gracias Mariano por informar.

  15. Guardar claves de usuario es un indicador de que el equipo de desarrollo no es de la mejor calidad. Es un problema que está solucionado desde hace mucho tiempo. Los frameworks modernos para desarrollo de webapps ofrecen una api de manejo de usuarios con passwords que se guardan como one-way hash (no es reversible, al menos en forma práctica).

    Un sitio diseñado hoy ni siquiera necesita ofrecer la posibilidad de login con password. Puede usar Facebook Connect y soluciones similares, que en algunos casos van a cubrir a todos sus usuarios deseables.

  16. quiero saber cual es el blog/pagina que publico esto para ver si estoy en la base de datos, ademas tanta propaganda que hacem, tanto viaje de palloti a Mexico, tanto salon Centurion de Amex pero el sistema es una cag…….si llego estar en la lista mañana mismo hago la presentacion en la Fiscalia General de la Provincia de Buenos Aires

  17. Esto pasa cuando el Marketing le gana al desarrollo y a la IT. Y lo dice aguien que viene del MKT. Habria que dejar de enfocarse en hacer mas prensa del site, tratando de enfocarse en la escalabilidad del sitio y su seguridad a medida que se va haciendo mas masivo.

  18. “Los datos publicados no eran actuales.”

    Entre a la mitad de las cuentas, ¿cómo que no eran actuales? asuman la responsabilidad del error kinder que cometieron y gasten los miles de dólares en recuperar la credibilidad que perdieron.

    Sean honestos!

    1. Lo que hemos querido decir es que publicaron una parte de una base (los primeros 461 usuarios que se registraron el 1/7/07, día de nuestra apertura) y que habían hackeado hace un tiempo. Si esos usuarios seguían activos y no habían cambiado la clave, los datos seguirían funcionando.

  19. Más allá de esto, soy el único que no entiende lo de “Club privado”, si cuando uno entra a la página está el link para registrarse libremente? O eso de entrar sólo por invitación era al principio, y ahora lo de privado está de decorado?

    1. gb
      Salieron dos mails. Uno que te recomienda cambiar las claves si las usabas en otro lado. En otro expresamente se decía que tu mail había sido expuesto y tu clave publicada (en base64).
      Solo si te registraste en Geelbe el 1/7/2007, entre los 461 primeros usuarios tu cuenta fue publicada.

  20. He leido algunos comentarios, y desde mi punto de vista como abogado en derecho informático, puedo afirmar que como todos saben hasta algunos los mejores sitios del mundo han sufrido algún ataque informático. Gastón Bercún es uno de los referentes en Argentina en este campo, y estoy convencido de que Geelbe ha tomado las medidas de seguridad informática que recomiendan los estandares. Gente, cualquier sitio puede sufrir un ataque informático en cualquier momento, y eso NO quiere decir que el equipo de programadores del sitio sea negligente, a cual quiera le puede llegar a pasar, nadie esta exento ni tiene una garantia de inviolabilidad del sistema eterna y al 100%, asi como también violan la seguridad de un banco. Lo importante es dar la cara, y solucionar el problema a los usuarios en forma inmediata, y creo que tanto Gastón como la gente de Geelbe han detectado el error y respondido rapidamente. Es solo mi observación personal. Saludos.

    1. @Leandro Gonzalez Frea: Como programador con 10 a~nos de experiencia te puedo decir que utilizar base64 para guardar un password en la base de datos es negligencia.

      Por otro lado el comunicado que dieron hoy en el blog de Geelbe me transmite mucha mas calma que el que dieron ayer: http://blog.geelbe.com/ar/2010/03/24/nuevamente-en-linea/comment-page-1/#comment-589

      En el mismo aclaran que dichos errores fueron corregidos hace tiempo, mucho tiempo, y que lo que se vio era el parte de la base de datos en la beta privada del sitio, hace ya un tiempo.

      Si bien no haría algo así ni en primera instancia, puedo entender que en una versión muy vieja del sitio hallan existido agujeros de seguridad y fallas del dise~no como las que hablamos ayer (las betas se hacen para detectar y corregir eso justamente), y también es cierto que los usuarios cuyos passwords fueron expuestos son conocidos en el ambiente y proclives a haber participado en una primera beta cerrada (Se hablo de 70.000 usuarios, pero solamente se expusieron 461), si a eso sumamos que no hay razón para no creerle a la gente que hace Geelbe creo que es el pie necesario para empezar a recobrar la confianza en la capacidad tecnica de quienes hacen sitio, obviamente habra que trabajar mucho, pero nada es imposible.

    2. Entonces como abogado, sabrás que los usuarios sufrieron daños y perjuicios por parte de Geelbe. Además, al estar en Base64, no es ni siquiera cumplir con lo básico de seguridad, ni hablar de estándares.

    3. Yo también soy Analista de Sistemas, y la falta de uso de hashing para el recupero de la clave es algo común, pero que da a desconfiar, como sabés que algún empleado enojado no puede hacer “volar” varias cuentas sólo para vengarse, es claro que la seguridad juega un rol importante y la clave no debería poderse recuperar fácilmente, y claro que base64 es una encriptación MUY, pero muy pobre, es mejor que texto plano pero es pobre, ya que no se requiere una clave maestra de desencriptación.

      Me deja un poco desconfiado, ¿Ahora que pusieron “más” seguridad que quiere decir que existe esta clave “maestra”? ¿Y quien tiene acceso?…

      El hash sha1, o en una menor medida MD5 solucionan el problema, y claro cuando alguien olvida la clave hay que generar una nueva y reenviarla por correo.

      En fin me deja desconfiando.
      Saludos

  21. Creo que repercutió negativamente porque un emprendimiento que cuenta con 3.2 millones de U$S de inversiòn, esté basado en un sistema hecho por freelancers. Cuando lo empezaron a desarrollar internamente, no lo reescribieron desde cero, además de no contratar gente calificada por los niveles de sueldo que pagan.
    Espero que hayan aprendido la lección: programadores bien pagos e idóneos y sistemas en base a frameworks bien conocidos (ej.: Symfony o Zend Framework)

  22. Geelbe, Estudio Bercun, GDI Group, VU Security (qué ironía), Likexo y sigue la lista de emprendimientos en los que participa Gastón Bercún… Parece que es cierto que el que mucho abarca poco aprieta.

  23. En el comunicado oficial dedican la mitad del espacio a los consejos para elección de tus contraseñas, cuando el error de seguridad fue de ellos!

    Lamentable. Los 70000 usuarios registrados, las inversiones y las marcas que exponen sus productos en el sitio les quedan demasiado grandes.

    Geelbe es puro PR. Por lo pronto voy a desactivar mi cuenta.

  24. No quería dejar pasar de largo esto:

    Aplaudo de pie a @amartino

    Lo aplaudo por la forma en que alertó a toda la gente que pudo para amortiguar el daño.

    Lo aplaudo de pie luego de pensar en las implicancias de la siguiente pregunta: “¿y si tuviéramos coberturas de noticias generales, las antes llamadas periodismo, de este tipo, no estaría bueno?”. Estaría buenísimo contar con noticias en el mainstream con el estilo @amartino.

Leave a Reply

Your email address will not be published. Required fields are marked *